De grootste cyberrisico’s zitten niet in systemen, maar in gedrag
Bij cybersecurity denken veel mensen al snel aan IT. Aan firewalls, monitoring en technische beveiliging. Logisch, want techniek is belangrijk. Maar veel cyberincidenten ontstaan juist door menselijk gedrag. Daarom speelt hr een belangrijke rol bij digitale veiligheid. Niet alleen voor de eigen organisatie, maar ook in het kader van NIS2, de nieuwe Cyberbeveiligingswet. Deze wet vraagt van organisaties dat zij kunnen aantonen dat medewerkers bewust zijn van cyberrisico’s. En dat zij hiervoor worden getraind.
4 manieren waarop hr het verschil kan maken
Hieronder staan 4 belangrijke cyberrisico’s waarbij hr een centrale rol kan spelen.
1. Phishing en social engineering
Cybercriminelen richten zich steeds vaker op medewerkers. Niet op systemen. Het kan gaan om een overtuigende e-mail. Om een telefoontje van een zogenaamd bekende leverancier. Of om een bericht dat afkomstig lijkt van de directie. Door kunstmatige intelligentie worden dit soort berichten steeds realistischer, waardoor ze soms nauwelijks nog van echte berichten te onderscheiden zijn.
Dit noemen we phishing en social engineering. Technische maatregelen helpen, maar zijn niet altijd voldoende. Medewerkers moeten verdachte situaties kunnen herkennen. En ze moeten weten wat zij moeten doen. Bewustwording blijft daarom essentieel.
2. Onvoldoende kennis over veilig digitaal werken
Veel medewerkers willen veilig werken. Maar zij weten niet altijd precies wat er van hen wordt verwacht. Denk aan het gebruik van een extra controle bij het inloggen, zoals multifactorauthenticatie. Ook veilig werken vanuit huis hoort daarbij. Onder NIS2 moeten organisaties kunnen aantonen dat medewerkers voldoende kennis hebben van cyberrisico’s. Training is daardoor niet langer vrijblijvend. Hr speelt een belangrijke rol bij het organiseren van deze trainingen. Maar ook bij het vastleggen en borgen ervan.
3. Onveilige onboarding en offboarding
Nieuwe medewerkers hebben toegang nodig tot systemen en gegevens. Bij medewerkers die vertrekken, moet die toegang juist op tijd worden stopgezet. In de praktijk gaat dit niet altijd goed. Accounts blijven soms actief. Toegangsrechten worden niet aangepast. Of verantwoordelijkheden zijn niet duidelijk vastgelegd. Dat zorgt voor onnodige risico’s. Een goed proces voor onboarding en offboarding helpt om deze risico’s te beperken. Hr heeft hierin vaak een centrale rol, samen met IT en leidinggevenden.
4. Onveilig thuiswerken
Hybride werken is voor veel organisaties normaal geworden. Dat biedt veel voordelen. Maar het brengt ook risico’s met zich mee. Denk aan onbeveiligde wifi-netwerken. Aan het delen van apparaten. Of aan het onbeheerd achterlaten van gevoelige informatie. Duidelijke afspraken zijn daarom belangrijk. Medewerkers moeten weten wat veilig digitaal gedrag inhoudt, ook buiten kantoor. Deze afspraken moeten niet alleen op papier staan. Ze moeten ook bekend zijn bij medewerkers. Ook hier kan hr bijdragen aan bewustwording, training en naleving.
Cybersecurity is een gezamenlijke verantwoordelijkheid
NIS2 draait niet alleen om technische beveiliging. De wet vraagt ook aandacht voor gedrag, kennis en bewustwording. Cybersecurity is daarom niet langer alleen een taak van IT. Ook hr speelt een belangrijke rol bij het vergroten van de digitale weerbaarheid van organisaties. Wie medewerkers goed informeert, traint en begeleidt, verkleint cyberrisico’s. Tegelijk helpt dit om aantoonbaar invulling te geven aan de eisen van NIS2.
Onze partner Samen Digitaal Veilig biedt ook trainingsvideo’s aan.
